Pomoc Masowe ataki na QNAPy?

maks87

Network Architect
Q's Professional
20 Lipiec 2012
448
2
69
28
37
Warszawa
QNAP
TS-x73
Ethernet
1 GbE
Jak już ze dwa dni temu pisałem na czacie, od kilku dni znowu występują chyba jakieś zmasowane ataki na QNAPy. Z fb wynika, że nawet komuś tam poszyfrowało dane, a na czasie @Silas Mariusz coś wspominał o dużej ilości tego typu zgłoszeń.
W administracji mam trzy QNAPy, wszędzie mam publiczny i stały adres IP. Urządzenia nie są zarejestrowane w myqnapcloud, a na każdym z nich jedynym "publicznym" punktem styku jest serwer OpenVPN (na zmienionych portach) a więc na routerze następuje przekierowanie tego portu na QNAPa.
Na wszystkich urządzeniach uruchomiony QuFirewall i to właśnie z niego zrzuciłem sobie statystyki ilości blokowań.

Wygląda to tak jak na poniższym wykresie:
- lokalizacja A (między 20 a 30 grudnia była w ogóle odcięta od internetu) - w dniach 1-5 stycznia widać wzrost, następie skok 6 stycznia
- lokalizacja B - tutaj wyraźnie widać wzrost 25 grudnia, liczba utrzymuje się na stałym poziomie do 4 stycznia, potem 6-7 stycznia nic, 8 stycznia pik a 9 stycznia bardzo mała liczba
- lokalizacja C - tutaj cały czas pomijalne wartości, nie widać żadnych ataków

1641773387657.png


Pamiętając sytuację z wiosny 2021, czy tym razem znowu musimy się czegoś bać, czy mając zastosowane zasady o których wtedy było głośno (m.in. brak dostępu do myqnapcloud, wyłączone konto admina itd) można spać spokojnie?
 
@vatazhka a kolega jest świadom, że ostatnio w openvpn byłą dziura wielkości Jowisza? Ano pewno nie. Oczywiście, że powinno być oprogramowanie w 100% bezpieczne. Ale nie jest i uwaga - żadne, nigdy nie będzie. Bo tworzą je ludzie, składa się z wielu różnych gotowych rozwiązań - i nie będą pewne w 100%.

Ja odnoszę się do oprogramowania QNAP. Zerknij tu: Qnap : Security vulnerabilities Ilość, krytyczność i rodzaje błędów (Tyle błędów you buffer overflow w 2021?) świadczą o tym, że firma nie stosuje dobrych praktyk ani narzędzi podnoszących jakość na etapie tworzenia kodu, że już o testach nie wspomnę.

Porównaj sobie te liczby choćby z OpenVPN, na który się powołałeś (Ja używania go nie sugerowałem, bo wg mnie to też niezbyt dobry kawałek softu.).

Ja polecam przesiąść się na S, a widzę po postach że pewnie masz trochę wiedzy - zbudować sobie serwer, zrobić na nim TrueNAS i w nosie mieć Qnapa i jego dziury. Będziesz szczęśliwym człowiekiem. Qnapa sprzedaj, chętni się znajdą.
Tutaj za bardzo alternatywy dla mnie nie ma, potrzebuję małej, cichej i energooszczędnej platformy do domu. Analogiczne do QNAP rozwiązania od S kosztują prawie dwa razy więcej. Tak więc QNAP traktuję jako bazę do własnoręcznie wyrzeźbionych rozwiązań, co do celów "domowo-grzebackich" jest do przyjęcia. Łączę się z zewnątrz z użyciem VPN, ale nie tego od QNAP. Żadnych usług nie serwuję. Gdyby nadal była możliwość instalacji Debiana, wchodziłbym natychmiast w tę opcję.
 
1642070567664.png

To jest statystyka pokazująca tylko i wyłącznie usługi zwracające słowo "QNAP" w jednym z największych hostów skanujących sieć. 9778 urządzeń w samej PL ;)

Bardziej dokładniej:
1642070884455.png

I może żeby jeszcze bardziej unaocznić. Jeden z losowo wybranych QNAP:

1642071275604.png


Port 2000 wskazuje na Microtika nie do końca poprawnie skonfigurowanego, no chyba - że ktoś testera łącza używa ;) Reszta portow zapewne na forwardingu zrobiona ;) 554 RTSP - wiec zapewne jakas camera wystawiona na swiat. 8999 - zdaje sie ze Filestation.

QNAP TS-231P3:
Hostname: <deleted>
Model:
Model Name: TS-X31P2
Internal Model Name: TS-X41
Display Model Name: TS-231P3
Platform: TS-NASARM
Platform Ex: ARM_AL
Firmware:
Version: 4.5.4
Number: 1723
Build: 20210708
Apps:
Filestation:
Version: 5.5.3
Build: 20210708

Jesli dziura bedzie np. w Filestation umozliwiajaca wykonanie polecenia na QNAP to ...... dalej chyba nie muszę tłumaczyć ? ;)
 
  • Lubię to
Reakcje: vatazhka
ja tylko powiem tak - da sie zainstalowac Debiana zamiast QTS :p
Brniemy w off-topic, ale dopytam - na nowszych ARM-ach też? Strony Debiana i QNAP-a wspominają tylko o starych platformach Kirkwood i Orion, które za chwilę przestaną być wspierane (mam już urządzenia, które utknęły na starych wersjach jądra i niewiele da się z tym zrobić, nie polecam).
 
Brniemy w off-topic, ale dopytam - na nowszych ARM-ach też? Strony Debiana i QNAP-a wspominają tylko o starych platformach Kirkwood i Orion, które za chwilę przestaną być wspierane (mam już urządzenia, które utknęły na starych wersjach jądra i niewiele da się z tym zrobić, nie polecam).
EOS i EOL dla urządzeń to nic nowego. Nic nie jest wieczne.
Zresztą, proszę bardzo, lista urządzeń S - poszukaj sobie po słowie kluczowym "wycofany"
Stan pomocy technicznej produktu firmy S | S Inc.
 
Debian jest w porządku - ba, sam go wykorzystuję do wielu rzeczy - ale QuTaS daje dużo wygody i oszczędza czasu. Ja stoję po stronie, że mimo wszystko - ja bym nie zrezygnował z niego. Mam już swoje przyzwyczajenia i naleciałości. Za to nie mogę się przekonać do truenas, który ma świetną opinię i takie tam bla bla bla. Oczywiście, nie jestem lekkoduchem i porty mam zmienione, a wszystko stoi za IPSem.
 
@VDR gdzie mozna uzyskac dostep do takich danych?
Tak jak wrzucil @Silas Mariusz - shodan.io - a jak dodam, ze można tego używać z cli i pisać skrypty wyszukujace to .... na prawde nie potrzeba duzo by znalezc podatne urzadzenia na to co odkrylismy. A jak jeszcze wpadniemy na pomysl by wrzucic trojana i go uspic by wyzwolic atak jak juz bedziemy mieli odpowiednia ilosc zainfekowanych urzadzen, tak by szum medialny nie pokrzyzowal nam planow to moze sie okazac, ze zablokujesz NAS przed dostepem z zewnatrz ale trojana masz juz w systemie i to on sie z tym swiatem łączy by odebrac instrukcje co ma robić. To oczywiscie tez da sie blokować. Trzeba mieć świadomość po prostu co się może wydarzyć i przed czym trzeba się chronić. Zezwolić z czym się może taki NAS łączyć, bo może w ogóle nie potrzebuje poza np. NTP czy DNS, które da się ogarnąć lokalnie itd itd.

I to niezaleznie czy to QNAP, czy FreeNAS czy jakieś S.
 
Oczywiście, nie jestem lekkoduchem i porty mam zmienione, a wszystko stoi za IPSem.

Panowie, ale zdajecie sobie sprawę, że zmiana portów to jest "security by obscurity" i że choćby przywołany wyżej shodan.io daje możliwość wyszukiwania usługi po bannerze i fungerprincie? Dlatego zmienianie portów nazywam "pudrowaniem syfa". Ktoś w końcu zrobi robaka pobierającego dane o celach do zainfekowania uzyskane z tego typu usługi zamiast walenia w domyślny port i kicha. Whitelisting adresów IP na firewallu to minimum.

Oprócz softu od QNAP jest jeszcze ogromny problem z pakietami .qpkg zbudowanymi przez "strony trzecie". Przyjrzałem się kilku pakietom i okazało się, że odpalają usługi sieciowe na prawach użytkownika admin (UID 0). To było uznawane za błąd już 25 lat temu... To doskonałe wrota do przejęcia całego NAS.
 
To nie tak powinno działać. Jakoś w innych systemach nie ma z tym problemu, choćby nawet w ultralekkim OpenWrt usługi są odpalane z uprawnieniami nieuprzywilejowanych użytkowników. Naprawdę nie trzeba do tego stosować kontenerów i wirtualizacji. Tak jak pisałem, to jest temat rozpoznany 25 lat temu.
 
Oprócz softu od QNAP jest jeszcze ogromny problem z pakietami .qpkg zbudowanymi przez "strony trzecie". Przyjrzałem się kilku pakietom i okazało się, że odpalają usługi sieciowe na prawach użytkownika admin (UID 0). To było uznawane za błąd już 25 lat temu... To doskonałe wrota do przejęcia całego NAS.
nic nowego <ziewa>, od 2004 roku nie potrafia inaczej :>


Jak nie to odpal w sandboxie na QuTS Cloudzie.
ja tylko zostawię tutaj : What are the network ports used by Qnap QTS, QuTScloud and QuTS hero system?
i takie coś .. odpaliłem QuTS cloud w dedykowanym VLANie i dropowałem cały ruch do internetu .. po 1h vmka się wyłączyła .. czemu bo nie mogła doczytać licencji, ale na którym to porcie działa .. do dzisiaj nie wiem i nie wnikam ..
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. Truenas
  2. download station
  3. ech0raix
  4. zmiana hasła na cloud key
  5. qufirewall
  6. qnap muli
  7. QuTS Cloud
  8. dostęp z zewnątrz
  9. USB Share
  10. zmiana portu
  11. Rapideo
  12. eCh0raix Ransomware